Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Android-Updates: Krack-Patches für Android, aber nicht für Pixel-Telefone

Mit dem November-Patch für Android schließt Google wieder zahlreiche Sicherheitslücken. Traditionell dabei: der Medienserver. Aber auch einen Patch für Krack gibt es - doch diesen bekommen noch nicht einmal die Pixel-Geräte von Google selbst.
/ Hauke Gierow
11 Kommentare News folgen (öffnet im neuen Fenster)
Der kleine Androide wird im November wieder ordentlich gepatcht. (Bild: Werner Pluta/Golem.de)
Der kleine Androide wird im November wieder ordentlich gepatcht. Bild: Werner Pluta/Golem.de

Google hat mit den November-Updates für das Android Open Source Project(öffnet im neuen Fenster) auch Patches für die WPA2-Sicherheitslücke Krack freigegeben. In diesem Monat gibt es drei verschiedene Patchlevel - und erstmals bekommen auch Googles eigene Smartphones nicht alle drei Patchlevel im November.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Systemadministrator*in Datensicherung (m/w/div) Deutsche Rentenversicherung Bund, Würzburg,Berlin (öffnet im neuen Fenster)
Cloud Engineer Infrastructure (m/w/d) INIT Group, Karlsruhe (öffnet im neuen Fenster)
Technical Product Owner / Integrator - Mobile App (w/m/d) ING Deutschland, Frankfurt am Main (öffnet im neuen Fenster)
Consultant (m/w/d) für den Public Sector SGB VIII Prosoz Herten GmbH, Herten (öffnet im neuen Fenster)
Ausbildung Fachinformatiker:in - Fachrichtung Systemintegration (gn) M3B GmbH, Bremen (öffnet im neuen Fenster)
Auszubildender Kaufmann für Digitalisierungsmanagement (m/w/d) MEDIENGRUPPE KLAMBT, Bielefeld (öffnet im neuen Fenster)
(Junior) Consultant SAP SD/Cax (m/w/d) Payment Schwarz Corporate Solutions, Neckarsulm (öffnet im neuen Fenster)
(Senior-) Professional Cyber Security Risk Management (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)

Denn nach Angaben von Ars Technica bekommen auch die Pixel-Geräte im November nur die Patchlevel 2017-11-01 und 2017-11-05. Der dritte Level 2017-11-06 soll auch für die Pixel- und Nexus-Geräte erst im Dezember ausgeliefert werden. In diesem Level sind die Patches für Krack enthalten. Google bestätigte dies. Android-Partner müssten unter Umständen weitere Patches von Zulieferern der Wi-Fi-Komponenten implementieren, schreibt das Unternehmen im Security Advisory. Da zahlreiche Apps TLS-Verschlüsselung nutzen und der Angriff derzeit sehr aufwendig durchzuführen ist, besteht derzeit kein Grund zur Panik .

Wie üblich hat Google zahlreiche weitere Sicherheitslücken geschlossen. Zwei Schwachstellen im Application-Framework ermöglichen Angreifern, weitere Rechte für Berechtigungen für Applikationen zu erlangen, ohne dass dafür eine Interaktion der Nutzer erforderlich wäre (CVE-2017-0830 und -0831).

Sicherheitsproblem in WPA2, das kann der Nutzer tun - Gespräch
Sicherheitsproblem in WPA2, das kann der Nutzer tun - Gespräch (03:33)

Wieder dabei ist auch der Medienserver. Fast schon traditionell ist es möglich, mit Hilfe präparierter Dateien beliebigen Code mit weitreichenden Berechtigungen auszuführen. Alleine fünf verschiedene CVEs in diesem Bereich sind als "kritisch" eingestuft. Ähnliches ist auch auf Systemebene möglich, genauere Angaben gibt es dazu aber noch nicht.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Im zweiten Patchlevel behebt Google vor allem Fehler in Treiberkomponenten. Zwei Fehler im Netzwerk- und im WLAN-Stack ermöglichen Angreifern auch hier, beliebigen Code in einem privilegierten Prozess auszuführen. Fehler im Cross Core Communication Interface (CCCI) von Mediatek-Prozessoren und im Grafiktreiber von Nvidia ermöglichen ebenfalls die Ausführung beliebigen Codes.

Auch Qualcomm-Prozessoren können mit "speziell präparierten Dateien" dazu gebracht werden, Code in einem privilegierten Kontext auszuführen.

Zur Startseite 11 Kommentare

Relevante Themen

Technik/HardwareMobile EndgeräteSoftwareSecuritySicherheitslückeUpdates & PatchesDatensicherheitNvidia